Makala haya ni sehemu ya mfululizo wa Fileless Malware. Sehemu zingine zote za safu:
- Matukio ya Programu hasidi Isiyoweza Kupatikana, Sehemu ya IV: DDE na Sehemu za Hati za Neno (tuko hapa)
Katika nakala hii, nilikuwa naenda kupiga mbizi katika hali ngumu zaidi ya hatua nyingi isiyo na faili na kubandika kwenye mfumo. Lakini basi nilikutana na shambulio rahisi sana, lisilo na nambari-hakuna makro ya Neno au Excel inahitajika! Na hii inathibitisha kwa ufanisi zaidi nadharia yangu ya asili inayotokana na mfululizo huu wa makala: kuvunja eneo la nje la shirika lolote sio kazi ngumu hata kidogo.
Shambulio la kwanza nitakaloelezea linatumia udhaifu wa Microsoft Word ambao msingi wake ni imepitwa na wakati (DDE). Alikuwa tayari . Ya pili hutumia athari ya jumla zaidi katika Microsoft COM na uwezo wa kuhamisha vitu.
Rudi kwa siku zijazo na DDE
Kuna mtu mwingine yeyote anayekumbuka DDE? Pengine si wengi. Ilikuwa moja ya kwanza itifaki za mawasiliano kati ya michakato iliyoruhusu programu na vifaa kuhamisha data.
Mimi mwenyewe ninaifahamu kidogo kwa sababu nilikuwa nikiangalia na kujaribu vifaa vya mawasiliano ya simu. Wakati huo, DDE iliruhusu, kwa mfano, waendeshaji wa kituo cha simu kuhamisha kitambulisho cha mpigaji kwa programu ya CRM, ambayo hatimaye ilifungua kadi ya mteja. Ili kufanya hivyo, ilibidi uunganishe kebo ya RS-232 kati ya simu yako na kompyuta yako. Siku hizo!
Kama inavyogeuka, Microsoft Word bado DDE.
Kinachofanya shambulio hili kuwa na ufanisi bila msimbo ni kwamba unaweza kufikia itifaki ya DDE moja kwa moja kutoka kwa sehemu za kiotomatiki kwenye hati ya Neno (kofia ya SensePost kwa kuhusu hilo).
Misimbo ya uwanja ni kipengele kingine cha kale cha MS Word ambacho hukuruhusu kuongeza maandishi yanayobadilika na programu kidogo kwenye hati yako. Mfano dhahiri zaidi ni sehemu ya nambari ya ukurasa, ambayo inaweza kuchopekwa kwenye kijachini kwa kutumia thamani ya {PAGE *MERGEFORMAT}. Hii inaruhusu nambari za ukurasa kuzalishwa kiotomatiki.
Kidokezo: Unaweza kupata kipengee cha menyu ya Uga chini ya Ingiza.
Nakumbuka kwamba nilipogundua kipengele hiki kwa mara ya kwanza katika Neno, nilishangaa. Na hadi kiraka kilizima, Neno bado liliunga mkono chaguo la sehemu za DDE. Wazo lilikuwa kwamba DDE ingeruhusu Neno kuwasiliana moja kwa moja na programu, ili iweze kupitisha matokeo ya programu kuwa hati. Ilikuwa teknolojia changa sana wakati huo - usaidizi wa kubadilishana data na programu za nje. Baadaye ilitengenezwa katika teknolojia ya COM, ambayo pia tutaangalia hapa chini.
Hatimaye, wadukuzi waligundua kuwa programu tumizi hii ya DDE inaweza kuwa ganda la amri, ambalo bila shaka lilizindua PowerShell, na kutoka hapo wadukuzi wangeweza kufanya chochote wanachotaka.
Picha ya skrini hapa chini inaonyesha jinsi nilivyotumia mbinu hii ya siri: hati ndogo ya PowerShell (hapa inajulikana kama PS) kutoka kwa uga wa DDE hupakia hati nyingine ya PS, ambayo inazindua awamu ya pili ya shambulio hilo.
Shukrani kwa Windows kwa onyo la pop-up kwamba uwanja wa DDEAUTO uliojengwa unajaribu kwa siri kuanza ganda.
Mbinu inayopendekezwa ya kutumia uwezekano wa kuathiriwa ni kutumia lahaja na uga wa DDEAUTO, ambao huendesha hati kiotomatiki. wakati wa kufungua Hati ya neno.
Hebu tufikirie tunachoweza kufanya kuhusu hili.
Kama mdukuzi mpya, unaweza, kwa mfano, kutuma barua pepe ya hadaa, ukijifanya kuwa unatoka katika Huduma ya Ushuru ya Shirikisho, na kupachika uga wa DDEAUTO na hati ya PS kwa hatua ya kwanza (kipunguzi, kimsingi). Na hauitaji hata kufanya uandishi wowote halisi wa macros, nk, kama nilivyofanya
Mhasiriwa hufungua hati yako, hati iliyopachikwa imeamilishwa, na mdukuzi huishia ndani ya kompyuta. Kwa upande wangu, hati ya mbali ya PS huchapisha tu ujumbe, lakini inaweza kuzindua kwa urahisi mteja wa PS Empire, ambayo itatoa ufikiaji wa ganda la mbali.
Na kabla mwathiriwa hajapata wakati wa kusema chochote, wadukuzi watageuka kuwa vijana matajiri zaidi katika kijiji.
Ganda lilizinduliwa bila hata chembe ya usimbaji. Hata mtoto anaweza kufanya hivi!
DDE na mashamba
Microsoft baadaye ilizima DDE katika Neno, lakini sio kabla ya kampuni kusema kuwa kipengele hicho kilitumiwa vibaya. Kusita kwao kubadili chochote kunaeleweka. Katika uzoefu wangu, mimi mwenyewe nimeona mfano ambapo uppdatering mashamba wakati wa kufungua hati kuwezeshwa, lakini Word macros walikuwa walemavu na IT (lakini kuonyesha taarifa). Kwa njia, unaweza kupata mipangilio inayolingana katika sehemu ya mipangilio ya Neno.
Hata hivyo, hata kama usasishaji wa sehemu umewezeshwa, Microsoft Word pia humwarifu mtumiaji wakati sehemu inapoomba ufikiaji wa data iliyofutwa, kama ilivyo kwa DDE hapo juu. Microsoft inakuonya kweli.
Lakini uwezekano mkubwa, watumiaji bado watapuuza onyo hili na kuamsha sasisho la sehemu katika Neno. Hii ni mojawapo ya fursa adimu za kuwashukuru Microsoft kwa kulemaza kipengele hatari cha DDE.
Je, ni vigumu kiasi gani kupata mfumo wa Windows ambao haujafungwa leo?
Kwa jaribio hili, nilitumia Nafasi za Kazi za AWS kufikia eneo-kazi pepe. Kwa njia hii nilipata mashine ya kawaida ya Ofisi ya MS ambayo iliniruhusu kuingiza uga wa DDEAUTO. Sina shaka kwamba kwa njia sawa unaweza kupata makampuni mengine ambayo bado hayajaweka patches muhimu za usalama.
Siri ya vitu
Hata kama ulisakinisha kiraka hiki, kuna mashimo mengine ya usalama katika MS Office ambayo huruhusu wadukuzi kufanya kitu sawa na tulivyofanya na Word. Katika hali inayofuata tutajifunza tumia Excel kama chambo cha shambulio la hadaa bila kuandika msimbo wowote.
Ili kuelewa hali hii, hebu tukumbuke Muundo wa Kitu cha Kipengele cha Microsoft, au kwa ufupi COM (Mfano wa Kipengee cha Kipengee).
COM imekuwapo tangu miaka ya 1990, na inafafanuliwa kama "kijenzi kisichoegemea cha lugha, kinacholenga kitu" kulingana na simu za utaratibu wa mbali wa RPC. Kwa uelewa wa jumla wa istilahi za COM, soma kwenye StackOverflow.
Kimsingi, unaweza kufikiria programu ya COM kama Excel au Word inayoweza kutekelezeka, au faili nyingine ya binary inayofanya kazi.
Inabadilika kuwa programu ya COM pia inaweza kukimbia mazingira - JavaScript au VBScript. Kitaalam inaitwa maandishi. Huenda umeona kiendelezi cha .sct kwa faili katika Windows - hiki ndicho kiendelezi rasmi cha hati. Kimsingi, ni nambari ya hati iliyofunikwa kwenye karatasi ya XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Wadukuzi na wapentesta wamegundua kuwa kuna huduma na programu tofauti katika Windows ambazo zinakubali vitu vya COM na, ipasavyo, maandishi pia.
Ninaweza kupitisha hati kwa matumizi ya Windows iliyoandikwa katika VBS inayojulikana kama pubprn. Inapatikana katika kina cha C:Windowssystem32Printing_Admin_Scripts. Kwa njia, kuna huduma zingine za Windows ambazo zinakubali vitu kama vigezo. Hebu tuangalie mfano huu kwanza.
Ni kawaida kabisa kwamba ganda linaweza kuzinduliwa hata kutoka kwa hati ya kuchapisha. Nenda Microsoft!
Kama jaribio, niliunda hati rahisi ya mbali ambayo huzindua ganda na kuchapisha ujumbe wa kuchekesha, "Umeandikiwa maandishi!" Kimsingi, pubprn huanzisha kipengee cha maandishi, ikiruhusu msimbo wa VBScript kuendesha kanga. Njia hii inatoa faida ya wazi kwa wadukuzi ambao wanataka kujificha na kujificha kwenye mfumo wako.
Katika chapisho linalofuata, nitaelezea jinsi maandishi ya COM yanaweza kutumiwa na wadukuzi kwa kutumia lahajedwali za Excel.
Kwa kazi yako ya nyumbani, angalia kutoka Derbycon 2016, ambayo inaelezea haswa jinsi wadukuzi walitumia maandishi. Na pia soma kuhusu maandishi na aina fulani ya moniker.
Chanzo: mapenzi.com